Router infettati da 2 anni con il malware ZuoRAT: come funziona

I ricercatori di Black Lotus Labs-Lumen Technologies hanno scoperto l’esistenza di un malware sofisticato e complesso che da circa 2 anni prendeva di mira i router e i dispositivi ad esso collegati.
Battezzato ZuoRAT la minaccia sembra apparsa in rete almeno nell’ultimo trimestre 2020 e continua a fare danni ancora oggi nascondendo la sua presenza agli occhi delle vittime.

La scoperta è davvero significativa perché riguarda un malware che integra personalizzazioni per l’architettura MIPS, una piattaforma RISC utilizzata in un ampio ventaglio di router. Black Lotus cita alcuni modelli di router a marchio Cisco, Netgear, Asus e DrayTek.

ZuoRAT, una volta infettato il router, è in grado di stabilire l’elenco dei dispositivi connessi raccogliendo contemporaneamente le richieste di risoluzione DNS e i pacchetti dati inviati e ricevuti.
Alle spiccate abilità tecniche, ZuoRAT abbina funzionalità che gli permettono di rimanere nascosto e usare un “basso profilo” per scavalcare eventuali tentativi di rilevamento.

L’utilizzo di tecniche DNS e HTTP hijacking che hanno come obiettivo quello di modificare il traffico dati servendo ai dispositivi collegati contenuti che non sono quelli legittimi, è evidente spia dell’approccio avanzato che ZuoRAT utilizza.
Tanto che i ricercatori ipotizzano la realizzazione del malware a seguito di un ingente investimento da parte di qualche governo.

Black Lotus ha aggiunto che l’infrastruttura command and control usata da ZuoRAT appare volutamente complessa con il preciso intento di celare ciò che sta accadendo. Un sottoinsieme di tale infrastruttura, inoltre, viene utilizzato per controllare i router infetti, l’altro per controllare i dispositivi collegati in LAN a loro volta aggrediti.

L’individuazione di ZuoRAT rappresenta la più importante scoperta in ambito malware capace di aggredire router SOHO (small-office, home-office) dal 2018 – ovvero quando venne a galla VPNFilter – a oggi.

Come la maggior parte dei malware che infettano i router, ZuoRAT non sopravvive a un reboot del dispositivo: il suo codice viene infatti caricato in una cartella temporanea il cui contenuto è azzerato a ogni riavvio.
Molto più complessa, invece, la rimozione del malware dai dispositivi client nel caso in cui essi fossero stati a loro volta infettati.